Os objetos na configuração do Kubernetes Operator usam permissões padrão. Essas são as permissões mínimas para o Operador do Kubernetes implantar e managed os recursos do Ops Manager e do MongoDB em um cluster do Kubernetes.
Permissões padrão para objetos do Kubernetes Operator
get, list, watch. O Operador Kubernetes lê os dados da organização e do projeto a partir do configmap especificado.
create, update. O Operador Kubernetes cria e atualiza objetos configmap para configurar as instâncias dobanco de dados de aplicativos .
delete. O Operador Kubernetes precisa da permissão deleteconfigmap para oferecer suporte às suas versões mais antigas. Essa permissão será excluída quando as versões mais antigas atingirem a data de fim da vida útil.
Segredos
Exigir as seguintes permissões:
get, list, watch. O Operador do Kubernetes lê objetos secretos para recuperar dados confidenciais, como informações de acesso TLS ou X.509 . Por exemplo, ele lê as credenciais de um objeto secreto para se conectar ao Ops Manager.
create, update. O Operador do Kubernetes cria objetos secretos mantendo informações de acesso TLS ou X.509 .
delete. O Operador do Kubernetes exclui objeto secretos (contendo senhas) relacionados ao banco de dados de aplicativo.
Serviços
Exigir as seguintes permissões:
get, list, watch. O Operador do Kubernetes lê e observa os serviços do MongoDB. Por exemplo, para se comunicar com o serviço Ops Manager, o Kubernetes Operator precisa de permissões do get, list e watch para usar a URL do serviço do Ops Manager.
create, update. Para se comunicar com os serviços, o Kubernetes Operator cria e atualiza objetos de serviço correspondentes aos recursos personalizados do Ops Manager e do MongoDB.
StatefulSets
Exigir as seguintes permissões:
get, list, watch. O Operador do Kubernetes React às alterações nos StatefulSets que cria para os recursos personalizados do MongoDB. Ele também lê o campo dos StatefulSets que managed.
create, update. O Operador do Kubernetes cria e atualiza StatefulSets correspondentes aos recursos personalizados do MongoDB.
delete. O Kubernetes Operator precisa de permissões para excluir os StatefulSets quando você exclui o recurso personalizado do MongoDB.
Pods
Exigir as seguintes permissões:
get, list, watch. O Operador Kubernetes faz query nos Pods do banco de dados de aplicativo para obter informações sobre seu estado.
Namespaces
Exigir as seguintes permissões:
list, watch. Quando você executa o Kubernetes Operator no modo de todo o cluster, ele precisa de permissões do list e watch para todos os namespaces para os recursos personalizados do MongoDB.